Seguranca Aulas 15 e 16 Ameacas e Vulnerabilidades PDF

Principais Ameaas e Vulnerabilidades
Aulas 15 e 16
Prof. M.Sc. Gleyson Azevedo
professor.gleyson@gmail.com
Curso On-Line
Segurana da Informao
Prof. Gleyson
http:/ / groups.google.com.br/ group/ prof_gleyson 2
Introduo
Obteno de Informaes
Cdigos Maliciosos
Negao de Servios
Roteiro
Prof. Gleyson
Vulnerabilidade falha no projeto, implementao
ou configurao de software ou sistema operacional
que, quando explorada por um atacante, resulta na
violao da segurana de um computador.
Um software ou sistema operacional pode conter uma
vulnerabilidade que permite sua explorao remota atravs
da rede.
Nesse caso, um atacante conectado Internet, ao explor-
la, pode obter acesso no autorizado ao computador
vulnervel.
Introduo
Prof. Gleyson
Obteno de Informaes
Engenharia Social
Phishing
Packet Sniffing
Firewalking
Port Scanning
Scanning de Vulnerabilidades
IP Spoofing
Introduo Tipos de Ataque
Prof. Gleyson
Cdigos Maliciosos (Malware)
Vrus
Cavalos de Troia
Adware e Spyware
Backdoors
Keyloggers e Screenloggers
Worms
Bots e Botnets
Rootkits
Negao de Servio (DoS) e Ataques coordenados (DDoS)
Introduo Tipos de Ataque
Prof. Gleyson
Mtodo de ataque onde algum faz uso da persuaso,
explorando a ingenuidade ou a confiana do usurio,
para obter informaes que podem ser utilizadas para ter
acesso no autorizado a computadores ou informaes.
Exemplo 1: ligao de desconhecido que diz ser do
suporte tcnico do provedor de Internet. Ele diz que a
conexo est apresentando algum problema e pede a
senha do cliente para corrigi-lo. Caso seja entregue, ele
poder realizar uma infinidade de atividades maliciosas,
utilizando a conta de acesso Internet do cliente e,
portanto, relacionando tais atividades ao nome dele.
Obteno de Informaes -
Engenharia Social
Prof. Gleyson
Exemplo 2: mensagem de e-mail, dizendo que o computador est
infectado por vrus. Ela sugere a instalao de uma ferramenta
disponvel em um site para desinfeco. A real funo da
ferramenta no eliminar um vrus, mas permitir que algum
tenha acesso ao computador e a todos os dados nele
armazenados.
Exemplo 3: mensagem de e-mail, onde o remetente o gerente
ou o departamento de suporte do banco de um cliente. Ela diz que
o servio de Internet Banking est apresentando um problema
que pode ser corrigido se for executado o aplicativo anexado
mensagem. A execuo do aplicativo apresenta uma tela anloga
a utilizada para ter acesso conta bancria pela digitao da
senha. Este aplicativo est preparado para furtar a senha de
acesso conta bancria e envi-la para o atacante.
Engenharia Social
Prof. Gleyson
Estes casos mostram ataques tpicos de engenharia
social, pois os discursos apresentados nos exemplos
procuram induzir o usurio a realizar alguma tarefa e
o sucesso do ataque depende nica e exclusivamente
da deciso do usurio em fornecer informaes
sensveis ou executar programas.
Engenharia Social
Prof. Gleyson
Phishing tipo de fraude que se d atravs do envio de
mensagem no solicitada, passando-se por comunicao
de uma instituio conhecida, como um banco, empresa
ou site popular, e que procura induzir o acesso a pginas
fraudulentas (falsificadas), projetadas para furtar dados
pessoais e financeiros de usurios. Tambm conhecido
como phishing scamou phishing/scam.
A palavra phishing (de "fishing") vem de uma analogia
criada pelos fraudadores, onde "iscas" (e-mails) so
usadas para "pescar" senhas e dados financeiros de
usurios da Internet.
Phishing
Prof. Gleyson
Atualmente, este termo vem sendo utilizado tambm para
se referir aos seguintes casos:
mensagem que procura induzir o usurio instalao
de cdigos maliciosos, projetados para furtar dados
pessoais e financeiros;
mensagem que, no prprio contedo, apresenta
formulrios para o preenchimento e envio de dados
pessoais e financeiros de usurios.
Phishing
Prof. Gleyson
Principais situaes envolvendo phishing:
mensagens que contm links para programas
maliciosos;
pginas de comrcio eletrnico ou Internet
Banking falsificadas;
e-mails contendo formulrios para o fornecimento
de informaes sensveis;
comprometimento do servio de resoluo de
nomes (DNS).
Phishing
Prof. Gleyson
Tcnica que consiste na captura de informaes valiosas
diretamente pelo fluxo de pacotes. Tambm conhecida
como passive eavesdropping.
Sniffer dispositivo ou programa de computador utilizado
para capturar e armazenar dados trafegando em uma rede
de computadores.
H diversos softwares com essa capacidade, como o
tcpdump, fornecido com o Linux, o Ethereal e o Wireshark.
Obteno de Informaes
Packet Sniffing
Prof. Gleyson
As informaes capturadas pelos sniffers dizem respeito
aos pacotes que trafegam no mesmo segmento de rede
em que o aplicativo se encontra.
Pode ser usado por um invasor para capturar informaes
sensveis (como senhas de usurios), em casos onde
estejam sendo utilizadas conexes inseguras, ou seja, sem
criptografia.
H diversas tcnicas que podem ser empregadas na
deteco remota de sniffers: requisio ICMP com falso
MAC, requisio ARP com falso MAC, DNS reverso,
Latncia, dentre outras.
Obteno de Informaes
Packet Sniffing
Prof. Gleyson
Exerccios
1. (Perito Criminal Processamento de Dados CPC/PA/2007 - CESPE) [31]
Quanto ao monitoramento de trfego em uma rede, julgue os seguintes
itens.
I O tcpdump um packet sniffer que possibilita a interceptao e apresentao de
pacotes que trafegampor uma rede TCP/IP. Os dados nos pacotes interceptados
podemser armazenados emarquivos para posterior anlise.
II Um packet sniffer possibilita monitorar o trfego em uma rede. Em uma rede
Ethernet, para monitorar o trfego destinado ao endereo de broadcast, a placa
de interface coma rede precisa ser configurada no modo promscuo.
III Emuma rede Ethernet, umpacket sniffer pode ser usado para monitorar o trfego
destinado ao endereo de broadcast e a endereos de multicast, mas no trfego
unicast destinado mquina como packet sniffer.
IV H tcnicas que podemser usadas para se tentar identificar a presena de packet
sniffers emredes Ethernet. Por exemplo, umpacote ARP pode ser enviado para
um endereo que no seja o de broadcast. Se uma mquina responder a esse
pacote, possivelmente temuma placa de rede no modo promscuo.
Esto certos apenas os itens
A. I e II. B. I e IV. C. II e III. D. III e IV.
Prof. Gleyson
Exerccios
2. (Perito Criminal Federal Computao Cientfica PF/2002 - CESPE) [44]
Considere uma rede em que h a suspeita da existncia de um sniffer
instalado em uma das mquinas que compem a rede, realizando escutas
desautorizadas. Com relao a essa situao, julgue os itens abaixo.
1 [1] Constitui boa estratgia de deteco de sniffer aquela que se fundamenta na
identificao do trfego gerado por ele durante a escuta, trfego que
normalmente acontece emgrande quantidade, seja o sniffer emredes comutadas
ou no.
2 [2] Pode-se detectar a existncia de umsniffer na rede usando-se outro sniffer e
verificando quemfaz consultas de DNS quando uma nova mquina adicionada
rede.
3 [3] Na identificao de um snnifer, constitui boa estratgia o envio de pings em
broadcast e a comparao dos tempos de resposta das vrias mquinas no
segmento: o tempo de resposta da mquina que contm sniffer provavelmente
ser maior que o das outras mquinas.
4 [4] Umsniffer comum passivo emuma rede comutada consegue capturar
trfego.
5 [5] A deteco de um sniffer quase sempre acontece com sucesso, sendo a sua
identificao fundamentada no endereo MAC.
Prof. Gleyson
Exerccios
3. (Perito Criminal Federal Computao Cientfica PF-Nacional/ 2004
CESPE) Acerca das vulnerabilidades e protees dos sistemas de
informao, julgue o item a seguir.
1 [99] A captura de pacotes que trafegam na rede com uso de um sniffer um
exemplo de ataque para o qual no h nenhuma forma de deteco possvel pelo
administrador de rede.
Prof. Gleyson
O firewalking uma tcnica implementada em uma
ferramenta similar ao traceroute e pode ser utilizada para
obteno de informaes sobre uma rede remota
protegida por um firewall.
Essa tcnica permite que pacotes passem por portas em
um gateway, alm de determinar se um pacote com vrias
informaes de controle pode passar pelo gateway.
Pode-se ainda mapear roteadores encontrados antes do
firewall.
Pode-se obter informaes sobre as regras de filtragem e
tambm criar um mapa da topologia da rede.
Obteno de Informaes
Firewalking
Prof. Gleyson
Port Scanners so ferramentas utilizadas para
obteno de informaes referentes aos servios que so
acessveis e definidas por meio do mapeamento das portas
TCP e UDP.
O intuito desse tipo de ataque evitar o desperdcio de
esforo com ataques a servios inexistentes.
O nmap um dos port scanners mais utilizados e pode ser
empregado para realizar a auditoria do firewall e do IDS.
Obteno de Informaes
Port Scanning
Prof. Gleyson
Aps a identificao dos sistemas que podem ser atacados
e dos servios que so executados, deve-se proceder
procura pelas vulnerabilidades existentes, o que deve ser
feito por um scanner de vulnerabilidades.
Scanners de Vulnerabilidades so ferramentas que
realizam diversos tipos de testes na rede, procura de
falhas de segurana, seja em protocolos, servios,
aplicativos ou sistemas operacionais.
O mapeamento anteriormente feito pelo port scanning
importante porque a busca de vulnerabilidades pode ser
realizada especificamente para o que foi mapeado.
Obteno de Informaes
Scanning de Vulnerabilidades
Prof. Gleyson
Spoofing ataque onde o sujeito autentica um host para
outro se utilizando da tcnica de forjar pacotes originrios
de um host confivel.
Os principais e mais largamente utilizados tipos de spoofing
so:
IP Spoofing;
ARP Spoofing;
DNS Spoofing.
Obteno de Informaes
Spoofing
Prof. Gleyson
Muitos servios que utilizam o protocolo TCP/IP funcionam
s custas de um tipo de autenticao baseada em hosts
(address-based authentication).
Assim, a autenticao para um determinado servio feita
pela simples verificao do hostname e/ou IP do solicitante
em uma lista de hosts confiveis.
Se houver relao, o solicitante estar autorizado a utilizar
o servio, do contrrio, no.
Todavia, o spoofing no to simples assim. O fato de se
alterar o IP da origem no torna o spoofing possvel, pois
h outras condicionantes, entre as quais a mais importante
como so gerenciadas as conexes e transferncias TCP.
Spoofing IP
Prof. Gleyson
Para que haja uma conexo entre dois hosts existem uma
srie de checagens passadas de lado a lado at que a
conexo seja definitivamente estabelecida.
Por esta razo, o TCP se utiliza de uma seqncia de
nmeros, associando-os aos pacotes como
identificadores, que so utilizados por ambos os hosts
para checagens de erros e informe destes, de maneira
que ao ser iniciada a conexo, o host solicitante envia um
pacote TCP com uma seqncia de nmeros inicial.
Spoofing IP
Prof. Gleyson
O servidor responde ento com sua seqncia de nmeros
e um ACK. Esta seqncia igual a do cliente + 1.
Quando o solicitante ou cliente recebe o ACK do servidor
ele envia ento o seu, que trata-se da seqncia enviada
inicialmente pelo servidor + 1.
A pessoa que ir realizar o spoofing tem ento dois
problemas na verdade: o de alterar o IP origem, mais
simples de resolver, e o de manter a seqncia de
nmeros, que por serem geradas arbitrariamente,
complica em muito esta tarefa.
Spoofing IP
Prof. Gleyson
Existe uma infinidade de ferramentas para facilitar esta
tarefa, que, em sua maioria, so programas que analisam
as seqncias e tentam obter uma lgica qualquer entre
os nmeros.
Como exemplo, tem-se o spoofit, o mendax, o
seq_number, o ipspoof e outros, todos em C, o que
significa que podem ser executados em vrias
plataformas, dependendo apenas de uma compilao
correta.
Spoofing IP
Prof. Gleyson
A vulnerabilidade a este ataque varia de sistema pra
sistema, sendo mais ou menos efetiva de acordo com o
algoritmo utilizado para a gerao das seqncias
numricas e o nmero de servios rodando que se utilizam
de autenticao address-based, condenada h muito, pelo
menos desde 1985, de acordo com o artigo publicado de
Robert Morris, ento da Bell Labs.
Ainda assim, h uma infinidade de servidores contendo
inmeros servios que se utilizam de RPC (Remote
Procedure Call), sabidamente vulnerveis a ataques do tipo
IP spoofing.
Spoofing IP
Prof. Gleyson
Spoofing ARP variao do IP spoofing que se aproveita
do mesmo tipo de vulnerabilidade (tambm address-
based), diferenciando-se apenas por utilizar o endereo
fsico ou MAC (Media Access Control).
O host atacante envia um mapa com informaes erradas
ao ARP cache remoto, de maneira que os pacotes que
saem do alvo para o seu suposto destino so roteados
para o host que atacou.
Este ataque tem uma srie de limitaes, sendo uma delas
o tempo em que uma entrada dinmica permanece no ARP
cache, que muito curto, desfazendo ento a informao
errada inicialmente implantada.
Spoofing ARP
Prof. Gleyson
Esta tcnica muito simples e no requer grandes
conhecimentos do TCP/IP.
Consiste em se alterar as tabelas de mapeamento de host
name IP address dos servidores DNS, de maneira que os
servidores, ao serem perguntados pelos seus clientes sobre
um hostname qualquer, informam o IP errado, ou seja, o
do host que est aplicando o DNS spoofing.
Spoofing DNS
Prof. Gleyson
Exerccios
informao, julgue o item a seguir.
1 [98] Um ataque de scanner consiste na monitorao de servios e verses de
software que esto sendo executados emumdeterminado sistema. Umsistema
firewall que implementa umfiltro de conexes capaz de anular os efeitos desse
tipo de ataque.
5. (Analista J udicirio Informtica STJ / 2008 - CESPE) Com respeito a
vulnerabilidades e ataques a sistemas computacionais, julgue o item
que se segue.
1 [109] Em redes IP que utilizam switches, pode-se realizar a escuta do trfego
como ARP spoofing.
Prof. Gleyson
Exerccios
6. (Analista de Controle Externo Tecnologia da Informao TCU/ 2008 -
CESPE) J ulgue o itemabaixo, relativo segurana da informao.
1 [174] Em caso de ataques do tipo e-mail spoofing aos usurios da rede,
recomenda-se que o administrador da rede adote o uso de certificados do tipo
X.509, o qual permitir aos destinatrios identificarem corretamente os e-mails
recebidos.
7. (Tcnico Cientfico Banco da Amaznia/ 2006 - CESPE) No tocante a
vulnerabilidades, mecanismos, tcnicas e polticas de segurana em
redes, julgueo itema seguir.
1 [112] Umataque de spoofing se baseia emuma situao na qual uma pessoa ou
programa consegue se mascarar comsucesso, por exemplo, se fazendo passar
por outra por meio de falsificao de dados. Um exemplo desse tipo de ataque
vemda rea de criptografia e conhecido como man in the middle attack.
Prof. Gleyson
Exerccios
8. (Analista de Tecnologia da Informao Redes DATAPREV/ 2006
CESPE) No referente a segurana de rede e controle de acesso, julgue
os itens que se seguem.
1 [67] A restrio na capacidade de aprendizado de endereos nas portas de um
switch suficiente para evitar oARP spoofing.
2 [69] Ataques ao STP (spanning tree protocol IEEE 802.1D) podempotencializar
ataques como o do MACflooding e o do ARP spoofing.
Prof. Gleyson
Cdigo malicioso ou Malware (Malicious Software)
termo que abrange todos os tipos de programa
especificamente desenvolvidos para executar aes
maliciosas em um computador.
Exemplos:
vrus;
worms;
backdoors;
cavalos de tria;
keyloggers;
rootkits.
Cdigos Maliciosos (Malwares)
Prof. Gleyson
Classificaes:
dependncia de hospedeiro:
dependentes (vrus, bombas lgicas e backdoors);
independentes (worms e zumbis).
replicao:
no se replicam (bombas lgicas, backdoors e
zumbis);
se replicam (vrus e worms).
Cdigos Maliciosos (Malwares)
Prof. Gleyson
Vrus programa ou parte de programa que se
propaga infectando, isto , inserindo cpias de si
mesmo e se tornando parte de outros programas e
arquivos de um computador.
O vrus depende da execuo do programa ou
arquivo hospedeiro para que possa se tornar ativo e
dar continuidade ao processo de infeco.
Entende-se por computador qualquer dispositivo
computacional passvel de infeco por vrus. Ex:
desktops, notebooks, telefones celulares, PDAs dentre
outros.
Cdigos Maliciosos - Vrus
Prof. Gleyson
Normalmente o vrus tem controle total sobre o
computador, podendo fazer de tudo, desde mostrar uma
mensagem de "feliz aniversrio", at alterar ou destruir
programas e arquivos do disco.
Para que um computador seja infectado por um vrus,
preciso que um programa previamente infectado seja
executado. Isto pode ocorrer de diversas maneiras, tais
como:
abrir arquivos anexados aos e-mails;
abrir arquivos do Word, Excel, etc;
Prof. Gleyson
(Cont.):
abrir arquivos armazenados em outros computadores,
atravs do compartilhamento de recursos;
instalar programas de procedncia duvidosa ou
desconhecida, obtidos pela Internet, de disquetes, pen
drives, CDs, DVDs, etc;
ter alguma mdia removvel (infectada) conectada ou
inserida no computador, quando ele ligado.
Prof. Gleyson
Existem vrus que procuram permanecer ocultos,
infectando arquivos do disco e executando uma srie de
atividades sem o conhecimento do usurio. Ainda existem
outros tipos que permanecem inativos durante certos
perodos, entrando em atividade em datas especficas.
Vrus Propagado por E-mail
um vrus propagado por e-mail (e-mail borne virus)
normalmente recebido como um arquivo anexado
uma mensagem de correio eletrnico.
O contedo dessa mensagem procura induzir o usurio a
clicar sobre o arquivo anexado, fazendo com que o vrus
seja executado.
Prof. Gleyson
Vrus Propagado por E-mail
Quando este tipo de vrus entra em ao, ele infecta
arquivos e programas e envia cpias de si mesmo para
os contatos encontrados nas listas de endereos de e-
mail armazenadas no computador do usurio.
importante ressaltar que este tipo especfico de vrus
no capaz de se propagar automaticamente. O
usurio precisa executar o arquivo anexado que contm
o vrus, ou o programa leitor de e-mails precisa estar
configurado para auto-executar arquivos anexados.
Prof. Gleyson
Vrus de Macro
Uma macro um conjunto de comandos que so
armazenados em alguns aplicativos e utilizados para
automatizar algumas tarefas repetitivas. Ex: em um
editor de textos, definir uma macro que contenha a
seqncia de passos necessrios para imprimir um
documento com a orientao de retrato e utilizando a
escala de cores em tons de cinza.
Um vrus de macro escrito de forma a explorar esta
facilidade de automatizao e parte de um arquivo que
normalmente manipulado por algum aplicativo que
utiliza macros.
Prof. Gleyson
Vrus de Macro
Para que o vrus possa ser executado, o arquivo que o
contm precisa ser aberto e, a partir da, o vrus pode
executar uma srie de comandos automaticamente e
infectar outros arquivos no computador.
Existem alguns aplicativos que possuem arquivos base
(modelos) que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo
vrus de macro, toda vez que o aplicativo for executado,
o vrus tambm ser.
Prof. Gleyson
Vrus de Macro
Arquivos nos formatos gerados por programas da
Microsoft, como o Word, Excel, Powerpoint e Access, so
os mais suscetveis a este tipo de vrus. Arquivos nos
formatos RTF, PDF e PostScript so menos suscetveis,
mas isso no significa que no possam conter vrus.
Prof. Gleyson
Exerccios
9. (Analista de Sistemas Suporte de Infraestrutura IPEA/ 2008 - CESPE)
Acerca de segurana emredes, julgue os itens seguintes.
1 [84] Atualmente, a maioria dos vrus ainda detectada por meio de assinaturas. A
pesquisa por assinatura varivel conforme o antivrus. D-se o nome de falso
positivo a umalarme falso gerado pelo antivrus, isto , quando umerro na lista
de definio faz que o programa marque arquivos limpos e seguros como
infectados.
2 [117] Umvrus metamrfico faz mutao a cada infeco, podendo tanto mudar
de comportamento quanto de aparncia.
10. (Tecnologista J r MCT/ 2008 CESPE) J ulgue o item abaixo, acerca de
segurana dos sistemas de informao computacional e das redes de
comunicao.
1 [105] Um vrus de macrocomandos de uma aplicao, como, por exemplo, um
editor de textos, independente da plataforma computacional e dos sistemas
operacionais.
Prof. Gleyson
Cdigos Maliciosos Cavalo
de Tria
Prof. Gleyson
Cavalo de tria (trojan horse) programa,
normalmente recebido como um "presente" (um carto
virtual, um lbum de fotos, um protetor de tela, um jogo,
etc), que alm de executar funes para as quais foi
aparentemente projetado, executa outras normalmente
maliciosas e sem o conhecimento do usurio.
Algumas das funes maliciosas que podem ser executadas
por um cavalo de tria so:
instalao de keyloggers ou screenloggers;
furto de senhas e outras informaes sensveis, como
nmeros de cartes de crdito;
de Tria
Prof. Gleyson
(Cont.)
incluso de backdoors, para permitir que um atacante
tenha total controle sobre o computador;
alterao ou destruio de arquivos.
de Tria
Prof. Gleyson
Por definio, o cavalo de tria distingue-se de um vrus ou
de um wormpor no infectar outros arquivos, nem
propagar cpias de si mesmo automaticamente.
Normalmente um cavalo de tria consiste em um nico
arquivo que necessita ser explicitamente executado.
Podem existir casos onde um cavalo de tria contenha um
vrus ou worm, mas mesmo nestes casos possvel
distinguir as aes realizadas como conseqncia da
execuo do cavalo de tria propriamente dito, daquelas
relacionadas ao comportamento de um vrus ou worm.
de Tria
Prof. Gleyson
necessrio que o cavalo de tria seja executado para que
se instale em um computador.
Ele geralmente vem anexado a um e-mail ou est
disponvel em algum site na Internet na forma de cartes
virtuais animados, lbuns de fotos de alguma celebridade,
jogos, protetores de tela, etc.
Enquanto esto sendo executados, estes programas podem
ao mesmo tempo enviar dados confidenciais para outro
computador, instalar backdoors, alterar informaes,
apagar arquivos ou formatar o disco rgido ou apenas
exibirem uma mensagem de erro.
de Tria
Prof. Gleyson
Muitas vezes, o cavalo de tria pode instalar programas
para possibilitar que um invasor tenha controle total sobre
um computador.
Estes programas podem permitir que o invasor:
tenha acesso e copie arquivos;
descubra senhas digitadas pelo usurio;
formate o disco rgido do computador, etc.
Normalmente o cavalo de tria procura instalar, sem que o
usurio perceba, programas que realizam uma srie de
atividades maliciosas.
de Tria
Prof. Gleyson
de Tria
Prof. Gleyson
Exerccios
11. (Tcnico Cientfico Banco da Amaznia/ 2006 - CESPE) No tocante a
vulnerabilidades, mecanismos, tcnicas e polticas de segurana em
redes, julgueo itema seguir.
1 [109] Umtrojan umprograma no-autorizado, embutido dentro de umprograma
legtimo, que executa funes desconhecidas e, provavelmente, indesejveis. O
programa alvo realiza a funo desejada, mas, devido existncia de cdigo
no-autorizado dentro dele, tambmexecuta funes desconhecidas.
Prof. Gleyson
Adware (Advertising software) tipo de software
especificamente projetado para apresentar propagandas,
seja atravs de um browser, seja atravs de algum outro
programa instalado em um computador.
So normalmente incorporados a softwares e servios,
constituindo uma forma legtima de patrocnio ou retorno
financeiro para quem desenvolve software livre ou presta
servios gratuitos. Exemplo: verso gratuita do Opera.
Spyware termo utilizado para se referir a uma grande
categoria de software que tem o objetivo de monitorar
atividades de um sistema e enviar as informaes
coletadas para terceiros.
Cdigos Maliciosos Adware e
Spyware
Prof. Gleyson
Existem adwares que tambm so considerados um tipo
de spyware, pois so projetados para monitorar os hbitos
do usurio durante a navegao na Internet, direcionando
as propagandas que sero apresentadas.
Os spywares, assim como os adwares, podem ser
utilizados de forma legtima, mas, na maioria das vezes,
so utilizados de forma dissimulada, no autorizada e
maliciosa.
Spyware
Prof. Gleyson
Algumas funcionalidades implementadas em spywares, que
podem ter relao com o uso legtimo ou malicioso:
monitoramento de URLs acessadas enquanto o usurio
navega na Internet;
alterao da pgina inicial apresentada no browser do
usurio;
varredura dos arquivos armazenados no disco rgido do
computador;
monitoramento e captura de informaes inseridas em
outros programas, como IRC ou processadores de texto;
Spyware
Prof. Gleyson
(Cont.):
instalao de outros programas spyware;
monitoramento de teclas digitadas pelo usurio ou
regies da tela prximas ao clique do mouse;
captura de senhas bancrias e nmeros de cartes de
crdito;
captura de outras senhas usadas em sites de comrcio
eletrnico.
Spyware
Prof. Gleyson
Estes programas quase sempre comprometem a
privacidade do usurio e a segurana da mquina,
dependendo das aes realizadas e de quais informaes
so monitoradas e enviadas para terceiros.
So exemplos de utilizao legtima de spyware:
uma empresa monitorar os hbitos de seus funcionrios,
desde que essa atividade esteja prevista em contrato ou
nos termos de uso dos recursos computacionais da
empresa;
um usurio instalar um spyware para verificar se outras
pessoas esto utilizando o seu computador de modo
abusivo ou no autorizado.
Spyware
Prof. Gleyson
Exemplos de utilizao dissimulada e/ou maliciosa:
um cavalo de tria que instala um spyware juntamente
com um keylogger ou screenlogger. O spyware monitora
os acessos enquanto o usurio navega na Internet.
Sempre que o usurio acessa determinados sites, o
keylogger ou screenlogger ativado para captura de
senhas bancrias ou nmeros de carto de crdito;
alguns adwares incluem componentes spyware para
monitorar o acesso a pginas e direcionar propagandas.
Se a licena de instalao do adware no diz claramente
ou omite o monitoramento e o envio de informaes,
est caracterizado o uso dissimulado ou no autorizado.
Spyware
Prof. Gleyson
Exerccios
informao, julgue o itema seguir.
1 [97] Os programas conhecidos como spyware so umtipo de trojan que tempor
objetivo coletar informaes acerca das atividades de um sistema ou dos seus
usurios e representam uma ameaa confidencialidade das informaes
acessadas no sistema infectado. Esses programas no so considerados como
vrus de computador, desde que no se repliquem a partir de um sistema onde
tenhamsido instalados.
Prof. Gleyson
Backdoor programa que permite o retorno de um
invasor a um computador comprometido, utilizando servios
criados ou modificados para este fim.
comum um atacante procurar garantir uma forma de
retornar a um computador comprometido, sem precisar
recorrer aos mtodos utilizados na invaso.
Na maioria dos casos, tambm inteno do atacante
poder retornar sem ser notado.
Cdigos Maliciosos Backdoors
Prof. Gleyson
A forma usual de incluso de um backdoor consiste na
disponibilizao de um novo servio ou substituio por
uma verso alterada, normalmente possuindo recursos que
permitam acesso remoto (atravs da Internet). Pode ser
includo por um invasor ou atravs de um cavalo de tria.
Uma outra forma a instalao de pacotes de software,
tais como o Back Orifice e NetBus, da plataforma Windows,
utilizados para administrao remota. Se mal configurados
ou utilizados sem o consentimento do usurio, podem ser
classificados como backdoors.
Prof. Gleyson
A existncia de um backdoor no depende
necessariamente de uma invaso.
Alguns dos casos onde no h associao com uma invaso
so:
instalao atravs de um cavalo de tria;
incluso como conseqncia da instalao e m
configurao de um programa de administrao remota;
alguns fabricantes incluem/incluam backdoors em seus
produtos (softwares, sistemas operacionais), alegando
necessidades administrativas.
Prof. Gleyson
Estes casos constituem uma sria ameaa segurana de
um computador que contenha um destes produtos
instalados, mesmo que os backdoors tenham sido includos
por fabricantes conhecidos.
Backdoors no so restritos a um sistema operacional
especfico, pois podem ser includos em computadores
executando diversos sistemas operacionais, como
Windows (por exemplo, 95/98, NT, 2000, XP), Unix (por
exemplo, Linux, Solaris, FreeBSD, OpenBSD, AIX), Mac
OS, entre outros.
Prof. Gleyson
Keylogger programa capaz de capturar e armazenar a
informao das teclas digitadas pelo usurio em um
computador.
Dentre as informaes capturadas podem estar um texto
de e-mail, dados da declarao de imposto de renda e
outras informaes sensveis, como senhas bancrias e
nmeros de cartes de crdito.
Normalmente, a ativao do keylogger condicionada a
uma ao prvia do usurio, como por exemplo, aps o
acesso a um site especfico de comrcio eletrnico ou
Internet Banking.
Cdigos Maliciosos Keyloggers
Prof. Gleyson
Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas
para terceiros (por exemplo, atravs de e-mail).
As instituies financeiras desenvolveram teclados virtuais
para evitar que os keyloggers pudessem capturar
informaes sensveis de clientes. Como resposta, foram
desenvolvidos os screenloggers, que so capazes de:
armazenar a posio do cursor e a tela apresentada no
monitor, nos momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o
mouse clicado.
Prof. Gleyson
Normalmente, o keylogger vem como parte de um
programa spyware ou cavalo de tria.
Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um
computador.
Geralmente, tais programas vm anexados a e-mails ou
esto disponveis em sites na Internet.
Prof. Gleyson
Worm programa capaz de se propagar
automaticamente atravs de redes, enviando cpias
de si mesmo de computador para computador.
Diferente do vrus, o wormno embute cpias de si
mesmo em outros programas ou arquivos e no necessita
ser explicitamente executado para se propagar.
Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de
softwares instalados em computadores.
Cdigos Maliciosos Worm
Prof. Gleyson
Geralmente, o wormno tem como conseqncia os
mesmos danos gerados por um vrus, como por exemplo a
infeco de programas e arquivos ou a destruio de
informaes. Isto no quer dizer que no represente uma
ameaa segurana de um computador, ou que no cause
qualquer tipo de dano.
Worms so notadamente responsveis por consumir
muitos recursos. Degradam sensivelmente o
desempenho de redes e podem lotar o disco rgido de
computadores, devido grande quantidade de cpias de si
mesmo que costumam propagar.
Cdigos Maliciosos Worm
Prof. Gleyson
Bot programa capaz se propagar automaticamente
(modo similar ao worm), explorando vulnerabilidades
existentes ou falhas na configurao de softwares
instalados em um computador.
Adicionalmente ao worm, dispe de mecanismos de
comunicao com o invasor, permitindo que o bot seja
controlado remotamente.
Normalmente, o bot se conecta a um servidor de IRC
(Internet Relay Chat) e entra em um canal (sala)
determinado, onde aguarda instrues do invasor
monitorando, paralelamente, as mensagens que esto
sendo enviadas para este canal.
Cdigos Maliciosos Bots e
Botnets
Prof. Gleyson
O invasor, ao se conectar ao mesmo servidor de IRC e
entrar no mesmo canal, envia mensagens compostas por
sequncias especiais de caracteres, que so interpretadas
pelo bot.
Estas sequncias correspondem a instrues que devem ser
executadas pelo bot.
Botnets
Prof. Gleyson
Um invasor, ao se comunicar com um bot, pode enviar
instrues para que ele realize diversas atividades, tais
como:
desferir ataques na Internet;
executar um ataque de negao de servio;
furtar dados do computador onde est sendo executado,
como por exemplo nmeros de cartes de crdito;
enviar e-mails de phishing;
enviar spam.
Botnets
Prof. Gleyson
Botnets redes formadas por computadores infectados
com bots.
Podem ser compostas por centenas ou milhares de
computadores.
Um invasor que tenha controle sobre uma botnet pode
utiliz-la para aumentar a potncia de seus ataques, por
exemplo, para enviar milhares de e-mails de phishing ou
spam, desferir ataques de negao de servio, etc.
Botnets
Prof. Gleyson
Identificar a presena de um bot em um computador no
uma tarefa simples.
Normalmente, o bot projetado para realizar as instrues
passadas pelo invasor sem que o usurio tenha
conhecimento.
Embora alguns programas antivrus permitam detectar a
presena de bots, isto nem sempre possvel.
Botnets
Prof. Gleyson
Exerccios
13. (Analista de Controle Externo Auditoria de TI TCU/ 2007 - CESPE)
J ulgue o prximo item acerca dos conceitos de segurana da
informao.
1 [153] So caractersticas tpicas dos malwares: cavalos de tria aparentam
realizar atividades teis; adwares obtm e transmitem informaes privadas do
usurio; backdoors estabelecemconexes para fora da rede onde se encontram;
worms modificamo cdigo de uma aplicao para propagar-se emuma rede; e
botnets realizamataques articulados por meio de umcontrole remoto.
comunicao.
1 [104] O verme (worm) computacional Nimda capaz de se propagar utilizando
mltiplos mecanismos, como correio eletrnico, reas de compartilhamento de
aplicaes distribudas, explorao de falhas emservidores do hypertext transfer
protocol (HTTP) e acesso de portas de entrada escondidas em sistemas
operacionais.
Prof. Gleyson
Rootkit conjunto de programas que fornece
mecanismos para que um invasor possa esconder e
assegurar a sua presena no computador
comprometido.
O nome rootkit no indica que as ferramentas que o
compem so usadas para obter acesso privilegiado (root
ou Administrator) a um computador, mas sim para mant-
lo.
O invasor, aps instalar o rootkit, ter acesso privilegiado
sem precisar recorrer novamente aos mtodos utilizados
na invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
Cdigos Maliciosos Rootkits
Prof. Gleyson
Um rootkit pode fornecer ferramentas com as mais
diversas funcionalidades, podendo ser citados:
programas para esconder atividades e informaes
deixadas pelo invasor (normalmente presentes em todos
os rootkits), tais como arquivos, diretrios, processos,
conexes de rede, etc;
backdoors, para assegurar o acesso futuro do invasor ao
computador comprometido (presentes na maioria dos
rootkits);
programas para remoo de evidncias em arquivos de
logs;
Prof. Gleyson
(Cont.):
sniffers, para capturar informaes na rede onde o
computador est localizado, como por exemplo senhas
que estejam trafegando em claro, sem qualquer
proteo de criptografia;
scanners, para mapear potenciais vulnerabilidades em
outros computadores;
outros tipos de malware, como cavalos de tria,
keyloggers, ferramentas de ataque de negao de
servio, etc.
Prof. Gleyson
Existem programas capazes de detectar a presena de um
grande nmero de rootkits, mas isto no quer dizer que so
capazes de faz-lo para todos os disponveis
(principalmente os mais recentes).
Como os rootkits so projetados para ficarem ocultos, sua
identificao , na maioria das vezes, uma tarefa bem
difcil.
Prof. Gleyson
Exerccios
informao.
1 [154] Rootkits apresentam portabilidade entre plataformas e devem ser
manuseados conforme os controles estabelecidos no captulo relativo
aquisio, desenvolvimento e manuteno de sistemas de informao da NBR
17799.
Prof. Gleyson
Negao de Servio (Denial of Service - DoS) o
atacante utiliza um computador para tirar de operao
um servio ou computador(es) conectado(s) Internet.
Exemplos deste tipo de ataque so:
gerar uma sobrecarga no processamento de um
computador, de modo que o usurio no consiga utiliz-
lo;
gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela;
Indisponibilizar servios importantes de um provedor,
impossibilitando o acesso de seus usurios.
Negao de Servio (DoS)
Prof. Gleyson
DDoS (Distributed Denial of Service) ataque de
negao de servio distribudo, ou seja, um conjunto de
computadores utilizado para tirar de operao um ou
mais servios ou computadores conectados Internet.
Normalmente, procuram ocupar toda a banda disponvel
para o acesso a um computador ou rede, causando grande
lentido ou at mesmo indisponibilizando qualquer
comunicao com este computador ou rede.
Um exemplo de ataque DDoS ocorreu no incio de 2000,
onde computadores de vrias partes do mundo foram
utilizados para indisponibilizar o acesso aos sites de
empresas de comrcio eletrnico.
Prof. Gleyson
Cabe ressaltar que se uma rede ou computador sofrer um
DoS, isto no significa que houve uma invaso, pois o
objetivo de tais ataques indisponibilizar o uso de um ou
mais computadores, e no invadi-los.
No exemplo citado, as empresas no tiveram seus
computadores comprometidos, mas ficaram
impossibilitadas de vender seus produtos durante um
longo perodo.
Prof. Gleyson
Exerccios
16. (Analista de Controle Externo Tecnologia da Informao TCU/ 2008 -
CESPE) J ulgue o itemabaixo, relativo segurana da informao.
1 [176] Considere que umdos hosts da rede de uma organizao esteja sofrendo
um ataque da classe de negao de servio (denial of service DoS) e que,
visando identificar de forma mais precisa o ataque que o host est sofrendo, o
administrador tenha constatado que h elevada razo entre o nmero de pacotes
TCP do tipo SYN e o nmero de pacotes TCP do tipo ACK que esto sendo
enviados para o host sob ataque e que, por outro lado, a razo entre o nmero de
pacotes TCP do tipo SYN recebidos pelo host e o nmero de pacotes do tipo
SYN/ACK enviados pelo host aproximadamente igual a 1. Nessa situao, o
administrador dever considerar a possibilidade de o ataque sob anlise ser do
tipo SYN flood, visto que so reduzidas as chances de o ataque ser do tipo
NAK/ACK.
Prof. Gleyson
Exerccios
17. (Analista de Sistemas Suporte de Infraestrutura IPEA/ 2008 - CESPE)
Acerca de segurana emredes, julgue o itemabaixo.
1 [118] Emumataque negao de servio por refletor reflector distributed denial
of service (DDoS) entidades escravas do atacante constroem pacotes que
requerem respostas e contm o endereo IP do alvo como endereo fonte no
cabealho, de modo que ao serem enviados a computadores no infectados, os
refletores, tais pacotes provocam respostas direcionadas ao endereo alvo do
ataque.
comunicao.
1 [106] A contramedida que consiste em varrer portas de servidores locais para
descobrir servios que esto indevidamente ativos um dos modos efetivos de
realizar o rastreamento e a identificao das fontes de ataque do tipo negao de
servio distribudo.
Prof. Gleyson
Exerccios
19. (Perito Criminal Federal Computao Cientfica PF-Regional/ 2004
CESPE) Acerca da segurana fornecida emambientes de redes, julgue o
itema seguir.
1 [105] Umdos mais conhecidos ataques a umcomputador conectado a uma rede
o de negao de servio (DoS denial of service), que ocorre quando um
determinado recurso torna-se indisponvel devido ao de umagente que tem
por finalidade, emmuitos casos, diminuir a capacidade de processamento ou de
armazenagemde dados.
informao.
1 [157] A deteco, por umsniffer de rede, de uma longa srie de segmentos TCP
SYN enviados de um host local para um host remoto, sem o correspondente
envio de segmentos TCP ACK, sugere que a rede sob anlise pode estar
sofrendo umataque de negao de servio.
Prof. Gleyson
1. B 10. 1C 19. 1C
2. 1E-2C-3C-4C-5E 11. 1C 20. 1E
3. 1E 12. 1E
4. 1E 13. 1E
5. 1C 14. 1C
6. 1C 15. 1E
7. 1C 16. 1C
8. 1E-2C 17. 1C
9. 1C-2C 18. 1E
Gabarito das Questes

Seguranca Aulas 15 e 16 Ameacas e Vulnerabilidades PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Seguranca Aulas 15 e 16 Ameacas e Vulnerabilidades PDF

Transféré par

Droits d'auteur :

Formats disponibles

Principais Ameaas e Vulnerabilidades

Vous aimerez peut-être aussi